La recente conferma da parte di Zscaler riguardo a una violazione dati derivante da un attacco alla supply chain fornisce un caso studio sull’evoluzione delle minacce contro ecosistemi SaaS complessi. L’attacco, attribuito al gruppo APT UNC6395, ha sfruttato vulnerabilità a livello di gestione delle credenziali OAuth e di API trust model nelle integrazioni tra applicazioni di terze parti e piattaforme cloud. Secondo le prime analisi, il punto d’ingresso è stato l’abuso dell’integrazione tra Salesloft Drift e Salesforce. L’attore ha esfiltrato token OAuth validi, consentendo l’accesso diretto agli endpoint Salesforce senza dover interagire con i sistemi di autenticazione tradizionali (es. MFA o session